Bonjour à tous,
 
J'ai grâce à mon prestataire télécom 5 ip fixes et un routeur Cisco 1810 qui posséde un mini switch 5 ports.
J'aimerai savoir comment mettre en place une sorte de DMZ, ou il y aurait un serveur web (une machine physique par service) un serveur FTP et un serveur VPN. La contrainte principale est que le serveur FTP et web doivent être accessible de mon réseau interne.
 
Internet ==> Cisco 1810 ==> Serveur Web, FTP, VPN ==> LAN
 
Je cherche à savoir combien de firewall je vais devoir utiliser et où les placer. Le minimum sera le mieux.  
 
Merci de vos conseils !!

Salut,
 
Dans ton cas je pense qu'un seul firewall est nécessaire. C'est lui qui va filtrer les flux entre la zone non sûre (Internet), ton LAN, et ta DMZ. Il faut qu'il soit mis comme ceci :
 
Internet ------ Cisco 1810 -------- Firewall ------ DMZ
                                                     |
                                                     |
                                                    LAN
 
Après, le tout est de bien configurer ses règles, et interdire tout flux direct entre Internet et le LAN.

Un exemple a tester pour ton Cisco :
 
http://www.cisco.com/en/US/product [...] 35e23.html

Mais dans ce cas dois-je mettre des cartes réseux supplémentaires pour les serveurs dans la DMZ pour y accèder avec leur IP Privé à partir du lan ?
Car si un client du Lan veut ajouter des fichiers sur le ftp il ne peux le faire pour l'instant qu'en passant par le net puisque le serveur FPT n'a qu'une IP Publique ?
 
merci !

heu non pas exactement...
 
si tu installes ton firewall, tu indiques à ton firewall que tel adresse ip du lan est autorisé à "discuter" avec une adresse de ta dmz (généralement ce sont des adresses privées en dmz, suivant la config ..)
 

ca revient a faire du DNAT/SNAT ? Je pense que le firewall sera un Openbsd.

pf ouaiss.... no comments (fatiguer se soir)
alors pour bsd... c'est pf pour le nat,  
et tu as ospf et bgp, comme proto de routage secure
il incremente la table de routage du kernel tt seul, et en plus chmodé.
+

Re bonjour à tous,
 
Histoire de clarifier ma demande, voici un petit schéma.
Et les questions qui vont avec :
 
1) Je vais donner une ip publique a FW_DMZ>eth1 mais dois-je mettre mon serveur ftp et vpn en ip privées, je ne peux pas utiliser d'adresse ip publiques ?
2) un exemple de syntaxe ou de quel partie de iptables/pf utilisé svp ? Quid du NAT ?
2) Des machines sur le lan devront peut etre utilisé la connexion internet du cisco, je leur définirai FW_LAN>eth0 comme passerelle par défaut mais quelles routes dois je définir sur FW_LAN et FW_DMZ ?
 
Merci !!
 
http://server6.theimagehosting.com [...] MZ.343.jpg

tu n'as besoin que d'un seul firewall... La DMZ a été conçue exactement pour ce que tu veux faire.
Test avec un ipcop ou pfsense (avec 3 cartes réseaux WAN-LAN-DMZ) après soit tu les gardes, soit tu prends tu matos plus pro et plus chère.